Linuxにおけるsyncookiesの実装 - yuya_prestoの古い日記(はてなダイアリーから移行)あまりにも忙しいので、とりあえず。この記事は後で修正する! サーバに大量のSYNを送りつけることで、サーバ側で接続待ち状態のコネクションを保持するキューをあふれ返させる(つまりそれ以降の接続要求は破棄される)ことで、接続をしにくくするのが、SYN Flood攻撃。 SYN cookiesとは、この「SYN Flood」攻撃への対策のための仕組みです。 というわけで以下、Linuxでのこの実装に関してコアな感じ。 syncookiesは、初期シーケンス番号や、MSS等をエンコードし、一方向ハッシュ関数でセキュリティを高めて、接続要求元に返すSYN/ACKパケットのシーケンス番号部分につっこんで、接続待ちキューを消費しなくて済むようにする仕組み。 syn queueがいっぱいになった場合, syncookiesが無効であればdropしてしまうところを, syn cookieつきのSYNACKを
